Нормативно – правовое обеспечение информационной безопасности
Конспект лекции № 8 Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации. Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей. Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политики страны, то логично было бы проводить их по единым принципам, выделяя как общие положения и принадлежности для информационной политики. В Доктрине информационной безопасности Российской Федерации раскрыто содержание следующих принципов, закрепленных в Федеральном законе «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ: законность (соблюдение Конституции РФ, законодательства Российской Федерации и норм международного права при осуществлении деятельности по обеспечению национальной безопасности); соблюдение баланса жизненно важных интересов личности общества и государства (единство, взаимосвязь и сбалансированность всех видов безопасности, гибкое изменение их приоритетности в зависимости от ситуации); недопустимость ограничения прав и свобод граждан, за исключением случаев, прямо предусмотренных законом (уважение прав и свобод человека); взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности; приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал России; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеративным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления. Государственная информационная политика (ГИП) должна опираться на следующие базовые принципы: открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом, государство учитывает общественное мнение); равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятельности независимо от их положения в обществе, формы собственности и государственной принадлежности); системность (реализация процессов обеспечения ИБ через государственную систему); приоритет отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг); социальная ориентация (основные мероприятия ГИП должны быть направлены на обеспечение социальных интересов граждан России); государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы финансируются преимущественно государством); приоритет права — законность (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы); сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления; интеграция с международными системами обеспечения ИБ. К основным задачам в сфере обеспечения ИБ РФ относятся: формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан на информационную деятельность; совершенствование законодательства Российской Федерации в сфере обеспечения ИБ; определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения ИБ; координация деятельности органов государственной власти по обеспечению ИБ; создание условий для успешного развития негосударственной компонента в сфере обеспечения ИБ, осуществления эффективного гражданского контроля за деятельностью органов государственной власти; совершенствование и защита отечественной информационно инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учета вхождения России в глобальную информационную инфраструктуру развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем; развитие отечественной индустрии телекоммуникационных информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке; защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на при приятиях оборонного комплекса; духовное возрождение России; обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов); сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий; пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных и исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности; повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — членов СНГ; создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры; противодействие угрозе развязывания противоборства в информационной сфере; организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное пространство. Для реализации указанных задач государственной системой обеспечения информационной безопасности должны осуществляться следующие функции: оценка состояния ИБ в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях; выявление и учет источников внутренних и внешних угроз, проведение их мониторинга и классификации; определение основных направлений предотвращения угроз или минимизации ущерба от их реализации; организация исследований в сфере обеспечения ИБ; разработка и принятие законов и иных нормативно-правовых актов; разработка федеральных целевых и ведомственных программ обеспечения ИБ, координация работ по их реализации; организация единой системы лицензирования, сертификации, экспертизы и контроля в этой сфере; страхование информационных рисков; подготовка специалистов по обеспечению ИБ, в том числе из числа работников правоохранительных и судебных органов; информирование общественности о реальной ситуации в сфере обеспечения ИБ и работе государственных органов в этой сфере; изучение практики обеспечения ИБ, обобщение и пропаганда передового опыта такой работы в регионах; правовая защита прав и интересов граждан, интересов общества и государства в сфере ИБ; организация обучения способам и методам самозащиты физических лиц от основных угроз в информационной сфере; содействие разработке и принятию норм международного права в сфере обеспечения ИБ; установление стандартов и нормативов в сфере обеспечения ИБ. От эффективности выполнения последней функции напрямую зависят сроки и возможности организации системы обеспечения ИБ РФ, поэтому рассмотрим ее содержание подробнее. В Российской Федерации действуют девять государственных стандартов по защите информации: ГОСТ 28147 — 89, ГОСТ Р 34.10 — 94, ГОСТР 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922 — 96. Они относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты процессов переработки информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты процессов переработки информации: системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, — 12 государственных стандартов; информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное i тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.) — около 200 государственных стандартов; системы качества (в том числе стандарты серии 9000, введенные в действие на территории Российской Федерации) — больше 100 государственных стандартов. Одним из отечественных аналогов перечисленных стандартов является руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем I и требований по защите информации». Комплексный характер защиты процессов переработки информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами: ГОСТ 28147 — 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р 34.10 — 94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»; ГОСТ Р 34.11 — 94 «Информационная технология. Криптографическая защита информации. Функция кэширования»; ГОСТ Р 50739 — 95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования». В вопросе о криптографии необходимо установить, кто и как должен защитить информацию. В России ФАПСИ претендует на защиту всей, в том числе открытой, информации. Объективно государственные организации могут ограничиться защитой только своей информации (прежде всего, государственной и служебной тайн), и будет хорошо, если им хватит на это средств и сил. Все остальные требования по защите информации надо подчинить единым понятным правилам и исполнимым запретам. Это должны быть законы, следуя которым субъект сможет защищать свою информацию сам доступными ему средствами. Введение единообразного подхода к использованию средств криптозащиты оставляет монополисту явную возможность для использования дубликатов ключей и не гарантирует, что это будет сделано в интересах государства, а не конкретных лиц. Хотя в ряде стран (например, Великобритания, Франция) существует государственная
Популярное: Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Почему стероиды повышают давление?: Основных причин три... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (622)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |